...
Detta är en artikel om hur personidentifierare hanteras när Ineras tjänster samverkar vi en autentisering. Specifikt besvarar artikeln frågan om vilken personidentifierare som blir slutresultatet av en lyckad identifiering autentisering i den biljett som e-tjänsten får men även vilken inverkan det får vid livscykelhantering och auktorisation av användare. I slutet av artikeln finns referenser till dokument för den som vill fördjupa sig i ämnet. I synnerhet är Referensarkitekturen för Identitet och åtkomst för användare en bra källa för att förstå principer och terminologi.
Out-of-band autentisering med SITHS eID
...
Out-of-band som autentiseringsmetod går ut på att splittra informationskanal och säkerhetskanal, till skillnad från in-band där det bara finns en gemensam kanal för information och säkerhet. Med det uppnår man en rad fördelar, t ex är det relativt lätt att införa nya autentiseringsmetoder utan påverkan på e-tjänsterna. De senare har en standardiserad anslutning till en IdP där man via metadata och klientkonfiguration bestämmer vilka attribut som en e-tjänst behöver för säker autentisering och auktorisering av användarna. Resultatet levereras till e-tjänsten i form av en biljett eller ett identitetsintyg, med begärada attribut. Källan till attributen kan vara e-legitimationen, metadata, klinetkonfiguration eller en katalog. Med metadata ska man i första hand förstå SAML-metadata då styrningen av OICD sker mera med hjälp av klientkonfiguration.
Ineras lösning för out-of-band med SITHS eID
...
Om användaren använder Mobilt SITHS eID som e-legitimation så kommer Autentiseringstjänsten alltid leverera ett personnummercertifikat till IdP:n, då det är det enda certifikat som finns på den e-legitimationen. Det i sin tur kan leda till ett användarval av HSA-id via IdP:n som ovan, då det kan finnas flera HSA-id knutna till samma personnummer. I andra fall då e-tjänsten begär attribut som relaterar till användarens uppdrag, leder det till ett uppdragsval för användaren.
Som framgår av beskrivningen så är den prioriterade personidentiteten i lösningen alltid personnummer, oavsett om det är SITHS eID på kort eller Mobilt SITHS eID, men e-tjänsten kan alltid styra vilken personidentitet som levereras i biljetten. En fördel med denna lösning är att samma princip kommer att gälla för andra e-legitimationer som baseras på personnummer, om man väljer att lägga till dessa i lösningen.
...
Översikt över hur de olika tjänsterna i Ineras lösning samverkar. E-tjänsten begär inloggning via IdP, som i sin tur nyttjar Autentiseringstjänsten. Beroende på vilka attribut som e-tjänsten kräver, kommer IdP:n eventuellt att göra ett uppslag i katalogen. Resultatet levereras till e-tjänsten från IdP:n i form av en biljett eller ett identitetsintyg.
Påverkan på organisationens användarhantering avseende behörighet och åtkomst vid out-of-band autentisering
Som en konsekvens av out-of-band-lösningen som den är realiserad, räcker det inte med att revokera själva e-legitimationen för att användaren ska spärras ut från e-tjänsterna. Så länge användaren har en giltig e-legitimation och HSA-katalogen innehåller behörighetsgrundande information får revokeringen av en e-legitimation ingen effekt. I det här exemplet så gäller följande förutsättningar;
...
| Info |
|---|
| Om användarorganisationen har gjort en realisering med standardiserade API:er mot operativssystemet och går över från NetID till Ineras klientprogramvaror, ska det inte krävas någon anpassning. HSA-id kommer att leveras precis som tidigare, om det har varit kravet. |
Påverkan på organisationens användarhantering avseende behörighet och åtkomst vid mTLS autentisering
Eftersom normalfallet för en mTSL autentisering ger en identitet baserat på HSA-id så uppstår inte det användningsfall som finns beskrivet för out-of-band autentisering. Dvs det blir aldrig någon id-växling så att det går att använda en annan organisations SITHS eID-kort för att komma in i e-tjänsten. En revokering av SITHS-kortet får omedelbar verkan om e-tjänsten bara stödjer mTLS.
Sammanfattning
- Personidentiteringshanteringen i autentiseringsflödet för out-of-band baseras på en prioritering i ordningen personnummer, samordningsnummer och HSA-id, vilket bestäms av Autentiseringstjänsten.
- I praktiken innebär det att de IdP:er som har behov av att leverera personidentiteter i form av HSA-id behöver i princip alltid göra ett kataloguppslag mot t ex HSA-katalogen. Det HSA-id som IdP:n levererar till eTjänsten behöver nödvändigtvis inte matcha det som finns på användarens SITHS eID-kort. Som en konsekvens av detta förhållande behöver den ansvariga organisationen administrera åtkomsträttigheterna i katalogen för att säkerställa att en specifik användare fråntas åtkomst om användaren inte längre har uppdrag hos den organisationen. Om användaren har flera SITHS eID-legitimationer, räcker det inte med att revokera en av dessa.
- Andra e-legitimationer än SITHS som bara innehåller personnummer, kommer att kunna hanteras på samma sätt av Ineras infrastruktur och kommer att kräva samma behörighetshantering av användarorganisationerna.
- För mTLS (in-band) gäller att backend-lösningen ska lita på de certifikat som man vill att användaren ska använda. På så sätt kan man styra till t ex HSA-id-certifikatet, om man så önskar.
- I bägge fallen, out-of-band och mTLS, har klienterna inte någon inverkan på vilket certifikat som väljs. För en organisation som går över från NetID till Ineras klientprogramvara i sin mTLS-lösning så kommer lösningen att fungera som tidigare, dvs användaren styrs till det certifikat som backend har bestämt, i de flesta fall till HSA-id-certifikatet.
- Ineras IdP fungerar både med out-of-band och mTLS enligt ovan. För out-of-band kommer i första hand personnummercertifikatet att väljas, för mTLS blir det HSA-idcertifikatet.
...